# AN0777 — Analytic 0777 ## Descrição Esta analítica detecta uploads inesperados de imagens de firmware via TFTP/FTP/SCP em dispositivos de rede, mudanças de configuração redirecionando ponteiros de imagem de boot, logs mostrando redirecionamento de variável de boot para imagens não padrão e reboots anômalos imediatamente após mudanças de firmware não vinculadas a cronogramas de patch. A telemetria inclui logs de syslog de dispositivos de rede para transferências de arquivos, logs de NMS (NetScout, SolarWinds) para mudanças de configuração e alertas de integridade de imagem do Cisco IOS ou Juniper Junos. A detecção é crítica para infraestruturas de rede porque implantes de firmware em roteadores e switches permitem ao adversário interceptar todo o tráfego sem detecção por soluções baseadas em host. **Plataformas:** Network Devices ## Técnicas Relacionadas - [[t1542-pre-os-boot|T1542 — Pre-OS Boot]] - [[t1601-modify-system-image|T1601 — Modify System Image]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1565-data-manipulation|T1565 — Data Manipulation]] --- *Fonte: [MITRE ATT&CK — AN0777](https://attack.mitre.org/detectionstrategies/DET0278#AN0777)*